面向云存储服务平台的访问控制系统及其访问控制方法.docx
PATEXPLaRER专利探索者-全球创新始于探索面向云存储服务平台的访问控制系统及其访问控制方法申请号-:CN.2申请日:20150612申请(专利权)人:深圳大学地址:广东省深圳市南山区南海大道3688号发明人:张鹏,喻建平,刘宏伟,王平主分类号:H04L29/06公开(公告)号:CNB公开(公告)日:20171208代理机构:深圳市恒申知识产权事务所(普通合伙)代理人:I陈健(19)中华人民共和国国家知识产权局(12)发明专利(10)授权公告号CNB(45)授权公告日20171208(21)申请号CM2(22)申请日20150612(71)申请人深圳大学地址广东省深圳市南山区南海大道3688号(72)发明人张鹏,喻建平,刘宏伟,王平(74)专利代理机构深圳市恒申知识产权事务所(普通合伙)代理人陈健(54)发明名称面向云存储服务平台的访问控制系统及其访问控制方法(57)摘要本发明属于云存储服务技术领域,提供了一种面向云存储服务平台的访问控制系统及其访问控制方法。该方法及系统中,授权中心和数据属主是基于权重属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将用户的属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限。另外,由授权中心和数据属主分别产生部分密文,通过授权中心密文控制用户访问权限,通过数据属主密文制定访问控制策略,当用户的属性发生变化时,只需授权中心更新自己部分的密文,即可实现对用户访问权限的实时撤销。权利要求书1.-种面向云存储服务平台的访问控制系统,其特征在于,所述系统包括:由授权中心运行的管理端,用于生成系统公共参数并上传至云存储服务平台,生成用户私钥并秘密分发至数据属主和共享用户,用基于权重属性加密机制产生需上传数据的第一部分密文,并将所述第一部分密文发送给数据属主:由数据属主和共享用户运行的客户端,用基于权重属性加密机制产生需上传数据的第二部分密文,结合所述第一部分密文、所述第二部分密文和所述需上传数据生成最终密文并将所述最终密文作为共享数据上传至所述云存储服务平台,还用于从所述云存储服务平台下载公共参数和共享数据,并利用所述公共参数和对应的用户私钥对下载的所述共享数据进行解密。2.如权利要求1所述的面向云存储服务平台的访问控制系统,其特征在于,所述管理端还用于对用户的基本信息进行维护;所述客户端还用于根据用户提供的身份信息和所述授权中心分发的登录信息引导用户登录系统。3.如权利要求1所述的面向云存储服务平台的访问控制系统,其特征在于,所述云存储服务平台是亚马逊S3云存储服务平台。4.一种如权利要求1至3任一项所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述方法包括以下步骤:授权中心运行管理端,生成公共参数与主私钥,将公共参数上传至云存储服务平台;数据属主运行客户端,向授权中心请求授权并发出数据上传请求信息;授权中心运行管理端,核实所述数据属主身份并结合所述主私钥生成对应的用户私钥,根据所述数据上传请求信息,基于权重属性加密机制产生需上传数据的第一部分密文,将对应的用户私钥和所述第一部分密文发送给数据属主:所述数据属主基于权重属性加密机制产生所述需上传数据的第二部分密文:所述数据属主结合所述第一部分密文、所述第二部分密文生成最终密文并将所述最终密文作为共享数据上传至所述云存储服务平台;共享用户运行客户端,向授权中心请求授权:授权中心运行管理端,核实所述共享用户身份并结合所述主私钥生成对应的用户私钥,将对应的用户私钥发送给所述共享用户:共享用户运行客户端,从所述云存储服务平台下载所述公共参数和所述共享数据,并利用对应的用户私钥对下载的所述共享数据进行解密。5.如权利要求4所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述生成公共参数与主私钥的步骤具体为:C:Gg×G(),GT,%尸纥,r输入安全参数,构造阶为素数P、生成元为g的双线性群定义双线性映射定义属性空间U=U1,Um,所述属性空间U中每个属性的最小权重为1、与每个属性分别一一对应的最大权重为Ll,Lm,同时选取随机数计算公共参数PK和主私钥MK分别为:PK=GO,g,h=g,e(g,g)MK=ga,B.6.如权利要求5所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述结合所述主私例生成对应的用户私钥的步骤具体为:2述主私钥MK权重属性jGS选择随机数并设置权重后生成用户私钥SK为"U)''YjWS输入所权重属性集定义哈希函数之后为每一用户选择随机数之后为每<mrow> <mi>S<mi> <mi>K<mi> <mo>=<mo> <mo><mo> <mi>D<mi> <mo>=<mo> <msup> <mi>g<mi> <mfrac> <mrow> <mo>(<mo> <mi>α</mi> <mo>+<mo> <mi>r<mi> <mo>)<mo> <mrow> <mi>beta;<mi> <mfrac> <msup> <mo>, <mo> <mo>&ForAl1;<mo> <mi>j<mi> <mo>∈<mo> <mi>S<mi> <mo>:</mo> <msub> <mi>D<mi> <mi>j<mi> <msub> <mo>=<mo> <msup> <mi>g<mi> <mi>r<mi><msup><mo>CenterDot;<mo><mi>H<mi><msup><mrow><mo>(<mo><mi>j<mi><mo>)<mo></mrow><mrow><msub><mi>r<mi><mi>j<mi><msub><msubsup><mi>ω</mi><mi>j<mi><mo>′</mo><msubsup><mrow><msup><mo>,<mo><msubsup><mi>D<mi><mi>j<mi><mo>fiprime;<mo><msubsup><mo>=<mo><msup><mi>g<mi><msub><mi>r<mi><mi>j<mi><msub><msup><mo>,<mo><msubsup><mi>D<mi><mi>j<mi><mrow><mo>′<mo><mo>′</mo><mrow><msubsup><mo>=<mo><msup><mi>g<mi><msubsup><mi>ω</mi><mi>j<mi><mo>prime;<mo><msubsup><msup><mo><mo><mo>.<mo><mrow>7.如权利要求6所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述基于权重属性加密机制产生需上传数据的第一部分密文的步骤具体为:构造第 一授权结构树并根据所述公共参数PK和所述第一授权结构树计算得到第一部分密文 CTl,所述第一部分密文CTl表示为:CT=Me=e(g,g)"',G=力VUWU:&=g%叫CS=(也(")产®,.,Cj=(0"(")JgSl£2p,其中,随机选择U表示所述第一授权结构树中叶子节点的集合,属性uGU,3U表示所述授权中心设置属性U的最小权重值,Lu表示所述授权中心设置属性U的最大权重值,qu(O)表示属性U所对应的属性值。8.如权利要求7所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述第二部分密文CT2表示为:7C=e(g.gfG=/产,其中,随机选择Y表示第二授权结构树中叶子节点的集合,属性yeY,3y表示所述数据属主设置属性y的最小权重值,Ly表示所述数据属主设置属性y的最大权重值,qy(O)表示属性y所对应的属性值,31表示属性y的当前权重。9.如权利要求8所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,若所述需上传数据为M、则所述最终密文CT表示为:%7C=Me(g,gF叫C=妙C=ZlZcvg0Cv=H(att(y)w'CT=<VyeYh卜>ve(a>"4M=g("(y)%"V"wU:C.=g"叫CF=V(M(U)MW,4,=9"(")"®。10.如权利要求9所述的面向云存储服务平台的访问控制系统的访问控制方法:其特征在于,所述利用对应的用户私钥对下载的所述共享数据进行解密的步骤包括以下步骤:A21:输入共享数据CT、对应的用户私钥SK、以及第一授权结构树和第二授权结构树中的一个节点X;A22:若共享用户的权重属性满足所述第一授权结构树则所述第一部分密文对应的第一解码信息Al为:4=e(g,g)叫;<mrow><msub><mi>A<mi><mn>l<mn><msub><mo>=<mo><mi>e<mi><msup><mrow><mo>(<mo><mi>g<mi><mo>,<mo><mi>g<mi><mo>)<mo><mrow><mrow><msub><mi>rs<mi><mn>l<mn><msub></mrow><msup><mo><mo></mrow>A23;若共享用户的权重属性满足所述第二授权结构树则所述第二部分密文对应的第二解码信息A2为:4=e(g,g)'"<mrow><msub><mi>A<mi><mn>2<mn><msub><mo>=<mo><mi>e<mi><msup><mrow><mo>(<mo><mi>g<mi><mo>,<mo><mi>g<mi><mo>)<mo><mrow><mrow><msub><11)i>rs<mi><mn>2<mn><msub><mrow><msup><mo><mo><mrow>A24:结合所述第一解码信息Al和所述第二解码信息A2得到明文M,表示为:-44Ge(g,gVfMg,g严c(GG,O)始俨,gSM)e(g,g+s<mrow><mfrac><mrow><mover><mi>C<mi><mo><mo><mover><mo>·<mo><msub><mi>A<mi><mn>l<mn><msub><mo>feCenterDot;<mo><msub><mi>A<mi><mn>2<mn><msub><mrow><mrow><mi>e<mi><mrow><mo>(<mo><msub><mi>C<mi><mn>l<mn><msub><mo>·<mo><msub><mi>C<mi><mn>2<mn><msub><mo>,<mo><mi>D<mi><mo>)<mo></mrow><mrow><mfrac><mo>=<mo><mfrac><mrow><mover><mi>C<mi><mo><mo><mover><mo>feCenterDot;<mo><mi>e<mi><msup><mrow><mo>(<mo><mi>g
